Hackers Exploram Vulnerabilidade do Plugin LiteSpeed do WordPress

LiteSpeed Cache é um plugin que milhões de administradores de sites WordPress usam para melhorar os tempos de carregamento das páginas e a experiência do usuário.

Mas o WPScan sinalizou uma exploração (CVE-2023-40000) na versão mais antiga do plugin que hackers podem usar para obter controle total de um site.

Sua pontuação CVSS de 8.3 indica que é uma vulnerabilidade severa. Hackers podem se passar por administradores reais e assumir o controle do site.

LiteSpeed corrigiu a vulnerabilidade com a versão 5.7.0.1, mas mais de 1,8 milhão de usuários ainda não atualizaram o plugin.

Tabela de Conteúdos

• Detalhes da Vulnerabilidade - Qual é a Resolução se Seu Site Estiver Afetado?

Detalhes da Vulnerabilidade

CVE-2023-40000 foi sinalizada em outubro de 2023 e pode ser usada para Cross-Site Scripting Armazenado.

Hackers poderiam aproveitar essa exploração para conceder privilégios de administrador a suas contas de usuário e obter controle dos sites.

“O plugin para WordPress é vulnerável a Cross-Site Scripting Armazenado via os parâmetros ‘nameservers’ e ‘_msg’ devido à sanitização insuficiente de entrada e escape de saída, permitindo que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.” disse o WPScan em seu post no blog.

A empresa de pesquisa de segurança também compartilhou que o malware injeta código nos arquivos principais do WordPress. Ela descobriu 1.232.810 solicitações do endereço IP 94.102.51.144 e 70.472 do endereço IP 31.43.191.220, respectivamente.

Ambos os endereços IP estavam procurando na web por sites WordPress existentes com versões antigas dos plugins LiteSpeed Cache instalados. O LiteSpeed Cache tem mais de cinco milhões de usuários, e um terço deles não atualizou para a versão corrigida do plugin.

Se você notar tráfego incomum em seu site e encontrar usuários administradores nomeados “wpsupp?user” ou “wp?configuser”, seu site já está comprometido.

Você também pode pesquisar no banco de dados por strings suspeitas como “eval(atob(Strings.fromCharCode “e ficar atento a solicitações de endereços IP como 45.150.67.235.

Qual é a Resolução se Seu Site Estiver Afetado?

Você deve usar um backup anterior do site para eliminar a infestação de malware. Como medidas de precaução, revise os plugins instalados em seu site WordPress.

Certifique-se de que todas as atualizações de plugins disponíveis e pendentes, incluindo o LiteSpeed Cache, sejam instaladas manualmente.